El hacker conocido como Kazu ha publicado en un foro clandestino la venta de una base con datos de 2.5 millones de usuarios registrados en empleo.gob.mx, el portal oficial operado por el Servicio Nacional de Empleo (SNE), bajo la Secretaría del Trabajo y Previsión Social. Asegura que posee registros completos de ciudadanos que buscan empleo, incluyendo su nombre completo, edad, CURP, nivel educativo, teléfonos y correos electrónicos.
Según el anuncio, Kazu ofrece la base por 2 mil dólares pero amenaza con filtrarla públicamente si no se le paga un rescate (ransom) de 20 mil dólares. Como prueba, compartió un archivo JSON con datos estructurados reales de usuarios registrados en la plataforma, el cual fue verificado por Publimetro México en conjunto con el analista de ciberseguridad Nicolás Azuara.
Una vulnerabilidad grave que deja expuestos a millones
De acuerdo con el análisis del director de Nico Tech Tips, confirmado por el autor de esta publicación, Ignacio Gómez Villaseñor, es posible acceder a todos los datos de empleo.gob.mx sin necesidad de autenticarse con una contraseña de administrador —ni de cualquier usuario— lo cual fue aprovechado por Kazu para efectuar la exfiltración de la información personal de 2.5 millones de usuarios.
A diferencia de ataques previos de Kazu donde se requerían contraseñas filtradas para accesar a las bases de gobierno, en este caso el sistema no valida la autenticidad del usuario que realiza la consulta. Basta con enviar una solicitud con un identificador numérico para que el servidor devuelva la información completa de cualquier persona registrada.
Los datos exfiltrados —según la muestra analizada— incluyen información sensible como nombre, CURP, RFC, dirección, escolaridad, habilidades y datos de contacto. Esto abre la puerta a suplantación de identidad, fraudes laborales, doxing y más.
¿Quién es Kazu? El hacker detrás del caos
El nombre de Kazu ha cobrado relevancia en las últimas semanas. Este actor malicioso ha estado detrás de varios ataques a dependencias mexicanas. Recientemente:
- Publicó datos de la Secretaría de Educación de Zacatecas, incluyendo CURP, tipo de sangre, calificaciones y datos de menores de edad.
- Amenazó con filtrar más de 73 mil documentos de la Fiscalía de San Luis Potosí, entre ellos constancias de antecedentes penales.
- Y ahora, afirma tener en su poder la base completa de empleo.gob.mx.
Según el análisis de Azuara, el modus operandi es el mismo en todos los casos: primero accede a sistemas usando credenciales robadas o mediante errores de configuración, después explota vulnerabilidades de control de acceso para recorrer los registros sin restricción alguna.
Pero en esta ocasión el escenario es aún más grave: ni siquiera se requiere una cuenta comprometida. La API pública del sitio permite que cualquiera pueda consultar registros ajenos con una simple modificación numérica.
Víctor Ruiz: Una filtración de este tipo es una bomba social
En declaraciones exclusivas para Publimetro México, el fundador de la firma de ciberseguridad SILIKN, Víctor Ruiz, advirtió sobre las consecuencias:
“Los ciberataques dirigidos a plataformas de empleo... son altamente preocupantes debido a la naturaleza sensible de la información que almacenan”.
“Una filtración en este tipo de sistemas representa una grave amenaza, ya que la información expuesta puede ser utilizada para cometer diversos delitos, entre ellos: estafas, fraudes, extorsiones, suplantación y robo de identidad, ataques de ingeniería social, ciberacoso, doxing...”.
Además, Ruiz hizo hincapié en el impacto psicológico:
“Quienes recurren a portales de empleo suelen encontrarse en una situación vulnerable... En lugar de recibir apoyo, terminan siendo víctimas del cibercrimen”.
“Esto puede provocar emociones como desconfianza, ansiedad, estrés, enojo o depresión. Además, repercute negativamente en el tejido social, al convertirse en un obstáculo más para el desarrollo individual y colectivo”.
La plataforma empleo.gob.mx sigue en línea y accesible, sin que las autoridades federales hayan emitido postura oficial ni alertado a los usuarios afectados. El ataque pone de nuevo en entredicho la seguridad digital de los sistemas gubernamentales mexicanos y la falta de auditorías externas que garanticen el resguardo de los datos personales.